아임노드

오늘 보안 컨설팅 강의에서는 CTF 문제풀이를 시작했다.이날 쉬는시간도 거의 없이 문제풀이만 보느라다른 것들은 재쳐두었다..원래 점심시간에 밥보다 잠을 자는 편인데 잠도 안자고 문제들을 살펴보았다.심지어 이건 강사님이 직접 만드신 CTF 페이지 ㄷㄷㄷ..  확실히 이렇게 실제로 문제를 풀어보는 것이 배우는게 많다.burpsuite도 이번에 제대로 사용해본 것 같다. 이번에 CTF에서는 랭크도 존재했는데특히 우리조가 엘리트조라 다들 상위권에서 놀았다.덕분에 더 배울게 많았다.똑쟁이들! 보안 컨설팅도 이렇게 취약점 진단에 대해서 잘 알아야 하는지 몰랐다.컨설팅은 법과 규약과 관련된 사항을 처리한다고 생각했는데,법+취약점진단을 모두 아우르는 것이 컨설팅이었다.이번 수업을 통해서 느낀게 많다.

교보문고 sam 구독을 다시 연장했다.구독 서비스가 있어서 좋다.   AWS를 매번 보면서 생각하지만 알면 알수록 편리함을 느끼면서도방대한 항목과 툴들로 어려운 서비스이기도 하다. 오늘 수업에서 실습 중 하나로 보안사고에 대해서 다뤘다.초대기업인 AWS에서도 보안사고는 일어난다. 물론 아마존 서비스의 실책이 아닌해당 서비스를 사용하다 발생하는 보안 인식 부족으로 생기는 사고들이 많지만..아무튼 100% 안전하진 않다는 것이다.클라우드를 잘 사용하면 무엇보다 편리하게 사용할 수 있지만사용자에 대한 보안 인식 제고가 정말 중요한 것 같다.  > Splunk 태그와 별칭 Splunk 지식 관리_태그와 별칭태그태그는 로그에 다른 이름표를 붙이는 것여러 로그에 하나의 태그를 적용해서 한 번의 검색으로 다양한 이벤..

태그태그는 로그에 다른 이름표를 붙이는 것여러 로그에 하나의 태그를 적용해서 한 번의 검색으로 다양한 이벤트를 검색할 수 있다.태그 사용의 좋은 예네트워크 구성 장비 또는 보안 장비에 태그를 할당하는 것태그 생성설정 > 태그 > 필드-값 리스트 나열 > 새 태크index="book" sourcetype="access_combined_wcookie" tag="status_error"  별칭필드의 이름을 다른 이름으로 변경하는 것rename과 동일한 결과를 얻을 수 있다.설정 > 필드 > 필드 별칭 > 새 필드 별칭 다른 앱에서도 사용하게 하려면 권한 공개 index="book" sourcetype="access_combined_wcookie"| stats count by clientip

일어날 때 마다 너무 피곤한데,오프라인 때 4시간만 자면서 잘 일어날 수 있을지 내 자신이 두렵다..;  보안 컨설팅 강의 시작.이전에 뵈었던 강사님이 다시 오셨다!뒷 시간에 취약점 진단과 관련한 기술적인 실습이 있다고 하셔서그 전에 취약점 카테고리를 다시 한 번 복습해 봐야겠다. 그밖에 다른 실습도 있었다.-> ISMS 통제항목 매칭-> 테이블 정의서 구성해보기(DMZ 존과 내부망이 분리되어야 한다는 것 알아두기!)   > XSS 정리 주요 취약점_XSS(Cross-Site Scripting)XSS : 웹사이트에 악성 스크립트를 삽입해 사용자 브라우저에서 실행되게 하는 공격  * 이후 사용할 스크립트를 이용했을 때 공격이 안되면 우회가 거의 불가능하다고 볼 수 있다. 1. dvwa XSS(Storeim..

XSS : 웹사이트에 악성 스크립트를 삽입해 사용자 브라우저에서 실행되게 하는 공격  * 이후 사용할 스크립트를 이용했을 때 공격이 안되면 우회가 거의 불가능하다고 볼 수 있다. 1. dvwa XSS(Stored) (low)로 이동2. 입력길이 제한으로 입력 길이 풀기   f12 > 아래 사진처럼 게시판 글자 부분에서 마우스 우클릭 > 검사(Inspect) 글자 제한이 10개로 되어 있음 확인 100글자로 넉넉하게 수정하기 또는 다른 방법burpsuite에서 패킷 잡아서 해당 부분에 강제로 데이터 넣기 2. 스크립트 넣기 - 게시판에 넣기(이때 식별가능한 문자 넣기. 여기서는 'name test') > sign Gestbook 클릭3. 내가 넣은 소스코드가 잘 들어갔는지 확인view source 또는 해..

토요일에는 새로 가게를 오픈하는 언니를 하루종일 도와줬다.정말 많은 사람이 기꺼이 총동원되었다. 요즘 보다 더 능동적인 학습을 하고 싶다는 생각이 든다.즉 스스로 궁금증에 의해 하나를 건드려 보는 일이다.실패하든 성공하든 시행착오를 겪어보고 싶다.  지난번 부터 만들기 시작한 웹페이지 한 장짜리.작업 진도율 85%..이제 앞으로 채워넣기만 하면 되는 수준으로 구성/배치해두었다!주말 착란 음모론..

별도의 포트폴리오 페이지를 만들기 위해 작업을 진행 중이다.노션을 잘 사용하니 노션으로 할까 했지만 내가 원하는 느낌이 나오질 않아웹 페이지 1장짜리를 만들어 볼까 한다.작업 진도 50%.. > Splunk 지식 관리 Splunk 지식 관리_이벤트 타입/ 룩업Splunk에서의 가장 많이 사용하는 지식이벤트 타입룩업태그와 별칭워크플로검색 매크로 이벤트 타입)특정 조건을 만족하는 이벤트의 집합을 정의하여 데이터를 분류ex) "로그인 실패 이벤트", "imnode.tistory.com    오늘의 윈도우 명령어이전에 한 번 이야기했듯이 리눅스 명령어를 위한 bandit 문제 복습이 끝나고윈도우 명령어에 대해서도 알아야겠다 싶어서 조금씩 알아보려고 한다.  기본 명령어dir : 현재 디렉토리 파일 및 폴더 목록..

Splunk에서의 가장 많이 사용하는 지식이벤트 타입룩업태그와 별칭워크플로검색 매크로 이벤트 타입)특정 조건을 만족하는 이벤트의 집합을 정의하여 데이터를 분류ex) "로그인 실패 이벤트", "시스템 경고 이벤트", "status_404" 등시간 지시자 위의 다른 이름으로 저장 > Event Type이벤트 타입 사용시 검색 창에eventtype=eventtype=status_404 룩업)Splunk 원본 소스 로그에는 없는 내용을 다른 테이블과 함께 검색해서 결과에 더욱 풍부한 의미를 부여할 수 있다.한 번 정의한 룩업은 필드명을 동일하게 설정한다면 다른 검색에서 재사용할 수 있다. - 먼저 지식이란 무엇인가?Splunk에서 "지식(Knowledge)"은 데이터를 더 유용하게 만들기 위해 정의된 구성 요소..

오늘은 보안관제에 이어 탑서트(Top-CERT) 실무에 대한 강의다.- 정상로그를 많이 봐야 악성 로그인지 알 수 있다.  > For security Monitoring(보안 관제) 카테고리 SOAR와 SIEM이 헷갈려서 한 번 비교 정리할 필요성을 느꼈다.SIEM (데이터 수집, 위협 탐지)SOAR (수집된 데이터를 분석/대응)내가 생각하기로 SOAR를 쓴다고 SIEM을 대체하는게 아니라두 가지를 모두 연동/연계해서 사용해야 보다 효과적인 방어가 가능하다. 정보보안 관제 자동화 솔루션이란? (SOAR)보안 관제 및 보안 운영 자동화를 위한 기술 및 솔루션 SOAR단일 시스템 또는 단일 플랫폼 안에서 다양한 업무와 도구 간의 작업을 조정, 실행 및 자동화하는데 도움을 주는 솔루션을 말한다.SOARimno..

비교 분석 eval이 명령어에 사용하는 함수는 검색 결과 값의 변환, 검증을 수행하며 함수 실행 결과 값을 반환하는 형식...| eval [반환값_저장변수] = 함수(인자1,인자2..)eval 함수는 문자열을 인자로 취하고 연산 결과를 반환문자열은 " "로 감싸서 표시사용Splunk가 수집하는 모든 로그에서 완벽한 필드 추출은 매우 어려움그렇기에 때로는 원하는 값을 추출하려고 필드 값을 다시 조작해야 하는 상황 종종 발생이때 eval 명령어 함수가 요긴하게 사용됨 (많이 연습하도록!)case(X,"Y",...)여러 개의 조건을 검증할 때 사용첫 번째 인자가 참인 경우 두 번째 인자의 내용 반환세 번째 인자가 참이면 네 번째 인자가 실행월 이름을 기반으로 분기(quarter)를 반환하는 코드index="b..